To by teoreticky šlo ochránit přes TPM a HW kalkulačkou s request-response aktivací klíče (pokud to TPM umí). Ale pokud má někdo fyzický přístup k vašemu serveru, asi mu nebude dělat problém patchnout initramdisk tak, že po startu provede dd odemčeného disku přes síť.